Der Tag bestimmt die Themen

Ich möchte mit meinen Beiträgen natürlich auch Bezug auf aktuelle Themen nehmen.

Deshalb heute eben zwei neue Beiträge, nachdem es spannende Entwicklungen gibt.

Gleich an zwei Stellen wird auf Sicherheitslücken aufmerksam gemacht, die alle irgendwie etwas mit dem “Internet der Dinge” (IoT, Quelle: wikipedia) zu tun haben.

Worum geht es da?

Zunächst um die vielen Geräte, die immer mehr über das Internet verbunden sind und über eigene Programme verfügen.

Das wäre z.B. der Kühlschrank, der selbständig Lebensmittel nachkauft und Rezeptvorschläge macht.

Die Küchenmaschine, die ebenfalls die Kochanleitungen aus dem Internet zieht.

Die Überwachungskamera, mit der man von “Unterwegs” ‘mal eben nach dem Rechten schauen kann.

Tja – und in so einer Kamera sind eben auch Programme und diese Programme werden nicht komplett von Hand programmiert.

Es gibt Hilfsmittel, z.B. SDK’s (Quelle: wikipedia), mit denen ein Programmierer auf viele Standardfunktionen zurückgreifen kann, die er einfach nur verwenden muss.

Ist aber in einem solchen SDK eine Sicherheitslücke enthalten, dann wird diese auf allen Produkten und Geräten verteilt, die mit diesem SDK programmiert wurden.

Und so kommt es, dass nun viele Sicherheitskameras über die gleiche Schwachstelle verfügen und angreifbar sind (Quelle: heise.de).

Vielleicht wird die Lücke im SDK schnell geschlossen.

Doch nun müssen alle Programmierer die Programme auf den neuen Stand bringen und das neue Programm muss an alle Geräte verteilt werden.

Ich gehe davon aus, dass so ein Vorgang lange dauert und sehr viele Geräte gar keine Aktualisierung mehr bekommen werden.

Neben dem kleineren “Abhör-Risiko” wird es richtig lustig, wenn solche Geräte zum Sprungbrett für die Angreifer werden, wie z.B. die beliebten Trainingsfahrräder von Peloton (Quelle: heise.de).

Dann “radeln” die Häcker buchstäblich in das Heimnetzwerk oder (bezogen auf Überwachungskameras) direkt in das Netzwerk von sicherheitskritischen Unternehmen.

Diese Risiken passen auch gut zu meinem vorherigen Beitrag über die moderne Cloud und die Problematik der zunehmenden Vernetzung.

Ich bin gespannt, wie das weiter gehen wird.

Wenn ich ratend darf – der Gesetzgeber wird in einigen Jahren auch diesen Bereich noch “regulieren” und am Ende ist alles “gelöst”.

Die ISO ist schon dran mit der ISO/IEC DIS 27400 Cybersecurity — IoT security and privacy — Guidelines (Quelle: iso.org).

Nur das eigentliche Problem wird so nicht behoben.

Das könnte nur durch die Hersteller der Produkte und die Einbeziehung von Sicherheit in alle Entwicklungsstufen zumindest abgemildert werden.

Wäre da nicht das Problem, das alles billig und schnell verfügbar sein soll und die Produkte enorm schnell wieder vom Markt verschwinden.

Toll – so werde ich zumindest nicht arbeitslos …